Documentos de Académico
Documentos de Profesional
Documentos de Cultura
>Anlisis y Gestin de
Riesgos
Fernando Aparicio, 8/4/2005
Security Xperts
Certificacin
Gestin global
de Riesgos de
los Sistemas
NIVEL 4
Gestin del
Proceso de
seguridad
NIVEL 3
NIVEL 2
NIVEL 1
Cumplimiento
de la
legislacin
sobre
seguridad
Sentido
comn
Certificacin de sistemas y
procesos
Certificacin de actividades
de comercio electrnico
Sellos de confianza
Anlisis de Riesgos
Gestin centralizada de la seguridad
Planes de continuidad de negocio
Security Xperts
Procesos:
- Metodologa para
integrar la seguridad 15%
en el proceso productivo
10%
15%
Definicin de una
poltica
de seguridad
20%
Tecnologa:
- Actualizaciones diarias
-Securizar sistemas actuales
- Controles peridicos
3
Sensibilizacin:
40% -Formacin de personal IT
-Formacin de usuario final
-Outsourcing de la seguridad
Security Xperts
Security Xperts
Security Xperts
Grado de confianza
(a menor confianza mayor riesgo)
El nivel de riesgo al que est sometido una organizacin nunca puede erradicarse
totalmente. Se trata de buscar un equilibrio entre el nivel de recursos y mecanismos que es
preciso dedicar para minimizar estos riesgos y un cierto nivel de confianza que se puede
considerar suficiente (nivel de riesgo aceptable)
Seguridad perfecta
Riesgo
Security Xperts
Security Xperts
Security Xperts
Security Xperts
Security Xperts
Security Xperts
12
Security Xperts
13
Security Xperts
Activos
Amenazas
Impacto
Riesgos
14
generan
Security Xperts
implica
Activos
Vulnerabilidades
generan
reducen
Salvaguardas
reducen
decisiones
Riesgos
15
Security Xperts
Impacto
implica
16
Security Xperts
Muy Alto
Alto
Medio
Bajo
Muy Bajo
17
Definicin
50
40
30
20
10
- Prdida o inhabilitacin temporal o permanente de activos o recursos secundarios (por ejemplo activos de red de
respaldo o de backup).
- No hay interrupcin de la prestacin de servicios o procesos de negocio pero el rendimiento se ve sensiblemente
afectado.
- Fuga de informacin no pblica pero no considerada como sensible.
Security Xperts
>Determinacin de la frecuencia
> Evaluacin cualitativa
> Para cada amenaza se evala la frecuencia de aparicin de la amenaza.
18
Frecuencia
Valor
Definicin
Muy Alta
Alta
0,9
Media
0,7
Baja
0,5
Muy Baja
0,3
Security Xperts
>Evaluacin de riesgos
IMPACTO
Muy Alto
(50)
Alto
(40)
Medio
(30)
Bajo
(20)
Muy Bajo
(10)
Muy Alta
(1,0)
Muy Alto
50 * 1,0 = 50
Alto
40 * 1,0 = 40
Medio
30 * 1,0 = 30
Bajo
20 * 1,0 = 20
Muy Bajo
10 * 1,0 =10
Alta
(0,9)
Muy Alto
50 * 0,9 = 45
Alto
40 * 0,9 = 36
Medio
30 * 0,9 = 27
Bajo
20 * 0,9 = 18
Muy Bajo
10 * 0,9 = 9
Media
(0,7)
Alto
50 * 0,7 = 35
Medio
40 * 0,7 = 28
Medio
30 * 0,7 = 21
Bajo
20 * 0,7 = 14
Muy Bajo
10 * 0,7 = 7
Baja
(0,5)
Medio
50 * 0,5 = 25
Bajo
40 * 0,5 = 20
Bajo
30 * 0,5 = 15
Muy Bajo
20 * 0,5 = 10
Muy Bajo
10 * 0,4 = 4
Muy Baja
(0,3)
Bajo
50 * 0,3 = 15
Bajo
40 * 0,3 = 12
Muy Bajo
30 * 0,3 = 10
Muy Bajo
20 * 0,3 = 6
Muy Bajo
10 * 0,2 = 2
FRECUENCIA
19
IMPACTO * FRECUENCIA
NIVEL DE RIESGO
40<Impacto*Frecuencia<=50
Muy Alto
30<Impacto*Frecuencia<=40
Alto
20<Impacto*Frecuencia<=30
Medio
10<Impacto*Frecuencia<=20
Bajo
0<Impacto*Frecuencia<=10
Muy Bajo
>Evaluacin de riesgos
>
Nivel de
riesgos
Muy Alto
Es imperativo aplicar de forma extremadamente urgente un proceso de identificacin e implantacin de salvaguardas preventivas y
reactivas. Este proceso, hasta su conclusin, debe ser considerado como el proceso de mxima prioridad para la Organizacin, an cuando
pueda interferir temporalmente con procesos crticos del negocio o pueda interrumpir temporalmente su operatividad. Este riesgo NUNCA se
puede asumir
Alto
Es necesario aplicar tan pronto como sea posible un proceso de identificacin e implantacin de salvaguardas preventivas y reactivas. Este
proceso, hasta su conclusin, debe ser considerado como un proceso de alta prioridad para la Organizacin. El retraso o interrupcin
temporal de este proceso slo debe estar justificado por motivos de continuidad de la operatividad del negocio o de alguno de sus procesos
crticos. Este riesgo NUNCA se debe asumir
Medio
Es necesario aplicar en un perodo razonable de tiempo un proceso de identificacin e implantacin de salvaguardas preventivas y
reactivas. Este proceso debe ser considerado como un proceso de prioridad estndar y su ejecucin puede ser interrumpida temporalmente
cuando interfiera con los procesos crticos del negocio. No es recomendable asumir este riesgo y slo se debera hacer en circunstancias
excepcionales. Es factible demorar la implantacin de salvaguardas, pero sin dejar pasar ms de 1 ao desde la finalizacin del presente
anlisis
Bajo
Muy Bajo
20
El responsable de los activos deber ponderar si es necesario implantar salvaguardas o si por el contrario se asume el riesgo. En caso de
que tome la decisin de aplicar salvaguardas pero demorando su implantacin, no debera dejar pasar ms de 1 ao desde la finalizacin
del presente anlisis. El proceso de implantacin de salvaguardas debe ser considerado como un proceso de prioridad estndar y su
ejecucin puede ser interrumpida temporalmente cuando interfiera con procesos del negocio (no necesariamente crticos)
Security Xperts
Nivel de riesgo
>
>
>
21
Riesgo
Opciones de
tratamiento del
riesgo
Tratamiento
del riesgo
Riesgo
residual
Anlisis de
coste /
beneficio
Responsable
de la
implementaci
n
Fecha limite
Responsable
del
seguimiento
del riesgo
22
>
>
Security Xperts
23
Security Xperts
24
Security Xperts
25
Security Xperts
26
>
>
Polticas y procedimientos::
> Documento de seguridad
> Poltica de uso de Internet por los empleados
> Polticas de copias de seguridad y planes de continuidad de negocio
> Conformidad ISO 17799 / Certificacin UNE 71502
.A pesar de gestionar la seguridad, siempre existe un riesgo residual, al depender de su
cumplimiento por las personas y, por tanto, no son 100% efectivas
Security Xperts
Grado de confianza
(a menor confianza mayor riesgo)
> El nivel de riesgo al que est sometido una organizacin nunca puede erradicarse
totalmente. Se trata de buscar un equilibrio entre el nivel de recursos y mecanismos que
es preciso dedicar para minimizar estos riesgos y un cierto nivel de confianza que se
puede considerar suficiente (nivel de riesgo aceptable)
Seguridad perfecta
Riesgo
Security Xperts
Grado de confianza
(a menor confianza mayor riesgo)
> El nivel de riesgo al que est sometido una organizacin nunca puede erradicarse
totalmente. Se trata de buscar un equilibrio entre el nivel de recursos y mecanismos
que es preciso dedicar para minimizar estos riesgos y un cierto nivel de confianza
que se puede considerar suficiente (nivel de riesgo aceptable)
Seguridad perfecta
Riesgo
Plan de gestin de riesgos
con cobertura de riesgo
electrnico
Security Xperts
29
Security Xperts
30
Security Xperts
31
Security Xperts
32
Security Xperts
33
Security Xperts
34
Security Xperts
Preguntas?
Muchas Gracias
fernando.aparicio@securityxperts.es
35
Security Xperts
Security Xperts